[РЕШЕНО] Неудаляемый вирус mem trojan.win32.sepeh.gen

[Tonikola 0]

Появляется вирус mem trojan.win32.sepeh.gen, KIS мне предлагает удалить вирус с помощью перезагрузки ПК. После того как KIS удалил вирус после перезагрузки, то спустя некоторое время, сутки-двое, появляется снова этот вирус, и так каждый раз. Прошло около трех недель после появления этого вируса

CollectionLog-2021.01.18-00.25.zip

[SQ 757]

Здравствуйте,

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, SigCheckExt и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Tonikola 0]

все сделал, вот архив

 

Архив WinRAR.rar

[SQ 757]

Похоже антивирус реагировал на активатор Windows, которого уже нет согласно логам.
 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Task: {1BC4AFA0-7143-4477-B9F1-0E7451005013} - \KMSAutoNet -> No File <==== ATTENTION
Task: {57DC15BA-2467-4154-9DBB-025DD7BD7E75} - \KMSAuto -> No File <==== ATTENTION
File: C:\Program Files\AMD\{920DEC42-4CA5-4d1d-9487-67BE645CDDFC}\amdacpusrsvc.exe
File: C:\Windows\System32\drivers\AmUStor.SYS 
S3 GPU-Z; \??\C:\Users\1F43~1\AppData\Local\Temp\GPU-Z.sys [X] <==== ATTENTION
File: C:\Program Files (x86)\RarLng.dll
File: C:\Program Files (x86)\rarnew.dat
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [462]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [420]
AlternateDataStreams: C:\Users\Дима\ntuser.ini:NTV [11066]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Tonikola 0]

сделал все по инструкции, вот файл:
 

Fixlog.txt

[SQ 757]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[Tonikola 0]

все сделал, вот архив:

 

ДИМА-ПК_2021-01-19_16-22-50_v4.11.3.7z

[SQ 757]

Ничего плохого в логах незаметил.

 

Сообщите, что с проблемой?

[Tonikola 0]

Пока этот троян не высвечивается, спасибо!

 

[SQ 757]

Завершающие шаги:
 

1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Tonikola 0]

сделал все по инструкции, вот файл:
 

SecurityCheck.txt

[SQ 757]

ознакомьтесь с рекомендациями:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office стандартный 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45790 Внимание! Клиент сети P2P с рекламным модулем!.

---------------------------- [ UnwantedApps ] -----------------------------
Browser Configuration Utility v.1.0.12.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

[Tonikola 0]

спасибо

[SQ 757]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".